摘要：个人信息主体权利行使的救济理论上可通过民事司法与行政监管两种方式实现。主体权利属于民事权利，公法权利的主体不能由国家权力者类推至社会权力者，对具体法律人格进行倾斜性赋权也未逸脱民法范畴。工具性权利的特征不影响其可诉性，主体权利行使之诉遵循私权救济的逻辑而非公法上的执法机制，也与是否存在损害或实质损害风险无关。处理者拒绝的要求独立于使潜在请求权现实化的需求，也非诉之利益的考量因素，不宜解释为特别起诉条件或诉讼前置程序，费用承担机制与败诉风险威慑可在不牺牲救济及时性的同时，规制个人的直接起诉。主体权利对应的义务兼具民事与行政法律义务的双重属性，处理者违反时应承担行政责任。行政机关介入保护的具体形式是作出责令改正的行政命令，处理过程亦带有行政裁决的特征。在应然性层面，两种救济方式应实现良好的协同效应，个人不得同时适用。强制行政先行并不会破坏诉权本质且符合诉权限制的比例原则，但存在个人就行使查阅权、复制权、解释说明权、可携带权直接起诉以及一并提出损害赔偿请求的例外情况。对行政处理决定不服可选择民事诉讼、行政诉讼或行政复议的救济，行政诉讼中应赋予法院可以变更行政决定的权力。

作者简介：沈佳燕，法学博士，上海大学法学院讲师。

一、问题的提出

《个人信息保护法》（以下简称《个保法》）在规定个人信息受法律保护，他人不得侵害个人信息权益的同时，规定了系列个人信息主体在信息处理活动中的权利（以下简称“主体权利”）。如何为这些新型权利的行使设置适宜的救济或保障机制，构成了当前理论的核心困境，是主体权利由法律宣言迈向制度实践的关键障碍：《个保法》第50条第1款规定了个人行使主体权利的内部救济机制，要求处理者建立便捷的申请受理和处理机制；第2款则是外部救济机制，规定个人为行使权利可向法院起诉，但未明确该诉讼系民事诉讼还是行政诉讼，为其具体适用留下广阔的解释空间。

侵害个人信息权利引起的民事诉讼可以分为个人信息主体权利行使之诉、个人信息侵权损害赔偿之诉与个人信息防御性诉讼，第一种系个人要求处理者履行法律义务，配合实现其主体权利；第二种是处理者不履行法定义务造成损害时个人主张损害赔偿救济；第三种是处理者侵害个人信息权或有侵害之虞时个人主张停止侵害、排除妨碍、消除危险的防御性请求。理论对于个人能否以处理者为被告提起主体权利行使之诉，以及此类诉讼的性质存在较大争议。在肯定的观点中，一是基于对个人信息权（益）为民事权利（益）的承认，认可下位的主体权利能够获得民事诉讼救济；二是从规制的视角主张主体权利行使之诉并非侵权之诉，而是个人请求法院对其法定权利进行确认与执法。[1]否定的观点通常从个人信息权的基本权利属性认识主体权利，认为主体权利并不蕴含实体性、目的性法益，是对抗国家权力或社会权力者的公法权利，侵害行为通过行政手段纠正。[2]

除司法救济外，《个保法》第65条还规定个人可就违法的个人信息处理活动向行政机关投诉、举报，使主体权利行使的行政救济方式成为可能。尽管理论多对个人信息保护的行政规制持肯定意见，但亦有观点提出行政机关的监管应限于处理者的违法行为同时导致公共利益受损的情形，侵害个人信息主体私权但不涉及公共利益的行为应诉诸私法救济，行政机关无须介入。[3]

上述分歧指向对主体权利行使纠纷司法权与行政权分工与协调关系的不同认识。《个保法》未明确应然救济模式，理论对民事司法与行政监管介入救济的正当性也未达成共识。有必要分别阐释两种救济方式的可能性及其法理基础，并理顺两者的应然适用关系，在保持各自体系融贯性的基础上达成系统最优的协同效应，形成救济系统的有序结构。[4]

二、个人信息主体权利行使之诉的确立

主体权利的性质会影响其救济方式，故须从权利属性入手，论证主体权利为民事权利，进而构成民事诉讼的适格对象。鉴于其工具性与程序性的特征，理论界对其可诉性存有疑虑，也需分析此类权利是否具有借助民事给付之诉实现的正当性以及诉讼的定位。在扫除民事司法救济的可行性障碍后，还需解释《个保法》第50条的程序性规定应如何适用。

（一）主体权利民事私权属性的识别

主体权利为公法还是私法权利在很大程度上决定了其救济路径。肯定个人信息权具有基本权利的地位并不排斥民法同样可以规定个人信息权（益），[5]并具体设置系列民事权利。回到权利所处的法律关系，理论多以主体类型区分法律关系的性质，公法关系的一方主体为公权力者，且公权力者是以行使公权力形成法律关系，私法关系的双方都是私主体。[6]按此标准，处理者非国家机关时，主体权利只能归入私权范畴。主张主体权利系公法权利的观点抽取出个人与处理者地位不平等的特征，将公法关系的主体从国家权力者类推至社会权力者，存在明显缺陷。一是界定法律关系性质的标准已转向服从说或隶属说，即认为公法关系存在于权力者和服从者之间，是一种隶属关系；私法关系则是平等关系。服从说描述了多数情形下公法与私法关系的特征，但不具有普遍适用性。私法关系也可能有服从性，如亲子关系；公法关系也可能是平等的，如公权力者缔结的协议关系。二是混同了公权力与私权力，实际上个人的主观公法权利只存在于个人与公权力者的关系之中。[7]权力的生产、组织和实施在现代民族国家形成以后就一直被主权国家合法垄断，权力自然而然指向公权力。[8]数字社会的发展导致权力去中心化，为权力开辟了社会化之路，涌现出平台等社会主体的私权力，形成新的权力体系。然而公私法律关系的划分源于政治国家与市民社会的二元区分，是一种具有根本性的价值决定，划定了国家权力运行的方式与领域。尽管目前已经广泛存在公私法交融的现象，但却不会动摇国家与社会的二元论，公法权利的针对国家性不可改变。[9]非国家机关处理个人信息的活动并非国家高权行为，用于规范此类处理活动的主体权利也就无法归类为公法权利。

可资类比的是消费者权益保护领域的系列权利。《个保法》对个人的赋权与消费者权益保护法倾斜保护消费者的理念共通，为社会交往关系中的弱势群体赋权已是现代民法发展的重要趋势。考虑到社会经济情况的变化，现代民法正视当事人间平等性和互换性丧失的现实，从追求形式正义转向追求实质正义，在维持近代民法抽象法律人格的同时分化出若干具体的法律人格，对这些特殊人格类型的保护多以特别法的形式呈现，[10]即为法律关系的劣势方提供一套法律装置，通过赋权的方式增强其行为能力与抗衡能力，重新建立相对于另一方的平等法律人格。此类权利产生于保护特定类型主体利益的需求，是与物权、债权等依客体设置的民事权利有着不同规范逻辑的法定权利。经济法、社会法、领域法的出现未使公法与私法的划分失去意义，而只是使法律体系的结构组成变得丰富与复杂。主体权利依然符合现代民法的发展趋势与赋权理念，可以被嵌入私法权利的框架之中。

（二）侵害工具性权利可诉性的澄清

主体权利是实定法基于功能主义提供的一套矫正个人与处理者之间不平等关系、促进个人信息合理利用的行为规则，作为工具性、程序性权利存在，此种特征不能成为否认其可诉性的理由。

首先，在个人信息保护以外的私法领域，法律制度同样为特定类型的主体提供了量身定制的、满足特定主体保护需求的法定权利工具，具有民事诉讼介入保护的正当性。比如股东的查阅权、复制权与质询权，破产债权人的查阅权，业主的查阅权等，皆允许权利人通过提起给付之诉获得实现，它们亦具有缓解信息劣势的相似功能。法定权利通常应可在法院接受裁判并获得救济，而法律义务不仅可以对应于另一方的权利产生，也可以根据只设定行为义务，但并不赋予特定主体权利的法律规范产生，此时他人不享有请求义务人履行的权利，保证这些法律规范得到遵守的通常方法是命令义务主体承担刑事或行政责任。除非不遵守此类规定造成特定主体受私法保护的利益损害或侵害时，受害者可以起诉要求加害人承担民事责任；或是在有侵害风险时提起预防性的不作为诉讼。[11]比如行政法所设置的各种遵循某种行为规范的义务，是针对所有潜在的适格对象即某个社群的义务，不能被理解为针对特定主体的对人义务，也就不能简单地从中推导出赋予所有社群成员实现该义务的权利。[12]这可以从权利概念中的意志因素中得出，客观法对共同利益的保护能够反射性地实现对个人利益的保护，但只有当个人对某种利益的意志权力被法律承认时才能使利益与特定人发生关联，形成主观权利。

其次，国家履行个人信息保护义务所采取的手段包括立法、行政与司法，对主体权利的规定即国家采取立法手段，通过“行为规制权利化”的方法，将某些行为要求上升到法定权利的层面，从个人行使权利的角度而非单纯依靠政府监管的角度充实个人信息保护法体系。主体权利的存在增强了个人在信息处理活动中的主体性，调动了个体的积极性，使其自身能够采取行动免受非法处理活动的歧视、审查或监视，防范个人信息被滥用。[13]由违法行为的受害者对违法行为提起诉讼本身就属于法律的私人执行，并非基于主体权利工具性、程序性的特征才使得主体权利行使之诉特别具备了私人执法的属性。对个人赋予系列主体权利的制度安排正是通过实体法制度的完善使法院承担起规制的职能。个人起诉的直接目的是维护与实现特定的主体权利，尽管在结果上会使与之对应的行为规则得到遵守，进而呈现出监管的功能，但所遵循的依然是私权救济的逻辑，而非借助民事诉讼追究处理者合规的公法责任，不宜将个人的起诉视为向法院进行投诉与举报。

最后，还需澄清的是，是否存在对个人的人身或财产利益的损害或实质损害风险，与法定权利的可诉性没有直接关联。我国多有观点参考美国联邦法院在Clapper v.Amnesty International、TransUnion LLC v.Ramirez、Spokeo，Inc.v.Robins等案的裁判观点，指出若原告未证明其个人信息受到损害或有损害的实质风险（substantial risk）就无法起诉。[14]按此，违反主体权利对应的法定义务未必会造成损害或实质风险，主体权利行使之诉的可诉性存疑。[15]但从立法规定此类工具性权利的原因来看，不履行主体权利对应的行为义务本身就导致个人未获得本应享受的法定给付利益，可诉性无须额外考虑个人是否实际遭受某种损害或存在实质损害风险。一是，立法规定主体权利是因为其对于预防某种实体利益遭受损害而言是必要的，尽管不履行这些权利对应的义务不一定必然引起对人身或财产的损害，但遵守义务通常有利于防范损害。这也是主体权利区别于防御性请求权之处，旨在防范抽象风险，而非具体的、现实性的侵害风险。[16]二是，立法创设这些权利的同时也是为了缓解某种行为与现实损害之间因果关系证明的困难性，使侵害权利本身就能够引起司法的可救济性。[17]损害要件只存在于侵权损害赔偿诉讼中，不能以损害的不确定性否定可诉性。另外，基于我国的诉讼要件理论，即便是在侵权损害赔偿或是防御性诉讼中，是否存在损害或现实的侵害风险也只是权利保护要件而不影响诉的合法性。

（三）处理者拒绝后起诉规范的阐释

《个保法》第50条第2款为个人向法院起诉设置了“处理者拒绝个人行使权利的请求”的要求，目前理论对该规定是否为强制性规定存有疑义。否定论认为诉权是基本权利，该规定应理解为倡导性规定。[18]在肯定论中，一是认为该要件是实体法规定的特别起诉条件，可以推动纠纷的高效解决，有利于节约司法资源，并能促进个人与处理者的合作关系，预防恶意诉讼。[19]二是认为个人未向处理者提出请求前不存在纠纷，司法机关没有介入的必要。[20]区分论主张查阅复制权、可携带权、更正补充权、解释说明权属于“潜在的请求权”，个人提出请求后处理者的义务才产生，个人须先向处理者提出请求，遭到拒绝后才能起诉；而处理者在法定情形下负有主动删除的义务，个人可以直接起诉行使删除权。[21]本文认为该规定应解释为立法对个人应先通过私力请求行使权利的宣示性、倡导性行为规范，而不宜解释为特别起诉条件或是诉讼前置程序。

首先，起诉是权利人借助司法程序主张权利的行为，除了诉讼外提出履行请求，个人也可以通过起诉的方式向处理者提出行使主体权利的主张，同样可以产生请求履行法定义务的效果，[22]使潜在的请求权现实化。更重要的是，个人向处理者提出请求和处理者拒绝是两种不同的行为，即便个人必须提出履行请求才能使部分主体权利产生，也不能就此推导出这些主体权利的民事司法救济必须设置处理者拒绝的条件。

其次，个人行使主体权利在结构上可分为两个层次，一是个人基于法律规定，直接享有要求处理者给付的权利，类似于合同中的原给付请求权，只是内容法定。查阅权、复制权、解释说明权、可携带权的原给付请求权只需个人提出请求就成立，更正权、补充权的成立要求处理者处理个人信息不准确或不完整，删除权的成立要件是处理者未主动删除应删除的个人信息。二是处理者未满足个人行使权利的请求时，个人仍可继续主张处理者履行，此种次给付请求权类似于违约时的继续履行请求权，是原给付请求权修正性的继续和延伸。[23]无论是原给付请求权还是次给付请求权，均包括请求相对人履行的任意履行请求权与请求法院强制债务人履行的履行诉求权。[24]若将处理者拒绝作为特别起诉条件或诉讼前置程序，便否认了原给付请求权的可诉性。

再次，个人信息主体权利行使之诉系现在给付之诉，通常具有纠纷解决的必要性与实效性，而不问原告提起诉讼前是否对被告进行了履行催告、被告是否拒绝履行义务。[25]即便原告能够通过诉讼外的途径，例如自助实现其诉讼目的，原则上也不得否认权利保护的必要，原因是自助系对民事诉讼的补充，并不排斥国家的权利保护。[26]尽管起诉前双方可能尚未形成实质争议，但在起诉后，被告对原告的诉讼请求可能拒绝也可能认可，不能一概排除发生实质争议的可能。设置特别起诉条件或是诉讼前置程序，虽然可以过滤向处理者提出请求便能够顺畅实现主体权利的案件，但同样会排除其他存在潜在争议的案件，影响对主体权利的高效救济。比如处理者不及时删除或更正错误信息，很可能会对个人造成难以弥补的损害。故在信息传播速度快、范围广的数字社会尤其应重视效率价值。

最后，“处理者拒绝”指向义务的不履行，是一个实体性、评价性要件，在解释上包括处理者完全不响应或明确拒绝、部分响应或未按个人的要求响应、为权利的实现附加条件等诸多个人认为其权利未得到满足的情形。[27]若将之作为特别起诉条件或前置诉讼程序，法院在案件受理阶段就需对处理者是否履行进行实体审查，由此导致诉的合法性中混入诉的有理性判断，不当增加了立案审查的难度。比如在李某诉北京抖音信息服务有限公司网络侵权责任纠纷案中，法院指出，处理者是否对个人提出的请求及时响应、是否完整履行法律规定的个人信息查阅复制的协助或提供义务，应根据个人信息主体请求查阅复制的个人信息类型、信息数量以及请求提供的形式和具体要求进行判断。[28]

至于个人直接起诉可能导致的不当耗费司法资源、诉讼泛滥等潜在风险，并不一定要通过增设特别起诉条件或诉讼前置程序的方式缓解，费用分配的负担、败诉风险的威慑亦可在不牺牲权利救济及时性的同时，促使个人以先穷尽私力救济的方式解决纠纷，这与强调充分利用针对处理者的诉外个人权利行使机制并不矛盾。个人未经请求起诉时，若处理者未对个人的请求争执而立即承认的，尽管个人能够胜诉，但由于双方不存在实质争议，其起诉本身是不必要的，可以考虑由胜诉的个人承担案件的诉讼费用。[29]个人提出的律师费等为维权而支出的费用主张也不应得到支持。比如《日本民事诉讼法》第62条即规定，因胜诉人不必要的权利主张或防御行为而生的诉讼费用，以及因相对方必要的权利主张或防御而生的诉讼费用，法院可根据具体情形使胜诉的一方当事人负担诉讼费用的全部或者部分。这样便不会阻碍存在潜在争议的案件进入法院。若处理者在言辞辩论终结前履行完毕的，个人败诉并承担诉讼费用，此种不利后果同样能够起到抑制个人直接起诉的效果。

三、个人信息主体权利行使行政救济方式之明晰

按照传统的公私分立理论，公法特别关注的是国家行为在实现公共利益方面的作用，行政法调整公共行政以及行政机关与个人的关系。在明确主体权利的民事私权性质后，随之而来的疑问是行政机关能否介入主体权利行使纠纷。就行政机关介入的具体路径而言，行政行为的性质，因主体权利对应义务的复合属性而不唯一，影响程序的具体展开。

（一）主体权利对应义务的复合属性

通常而言，对于私人间的权利义务关系，除当事人要求司法权介入保护以外，国家并不直接干预，但对于特殊领域的私人间相互关系，不单在个人请求保护时通过司法权予以保护，也可由行政权加以保护。[30]个人信息并非私人物品，其承载了多方主体的利益，故应平衡个人信息流通利用与个人权益保护的关系。[31]个人信息保护法律制度旨在通过将个人信息处理的负外部性内在化，防止市场失灵，实现确保国民安全、防范公共风险的社会目标，属于新兴的社会性规制领域。[32]在个人信息治理格局中，行政机关不再局限于传统的不得侵害人民自由的守卫者角色，而是凭借自身优势积极介入，对其中的个人利益、集体利益和公共利益进行综合调整。这源于个人信息的生产与处理过程具有强烈的公共性面向，要求解决数字市场和数字社会形成发展过程中的核心问题，确保数字要素有序流动，市场秩序安全稳定，而不仅仅是存在于私人主体之间的法律问题。[33]行政机关在个人信息保护领域的职能由此体现为两个方面：一是塑造个人信息保护的良好法律与社会环境，比如制定规则与指南、宣传教育、推动数字基础设施的建设等；二是作为监察员或是执行者，实施个人信息保护法律规则，[34]其中也包括个人信息主体权利规则的落实。

按照这一原理，主体权利对应的处理者义务不仅是民事法律义务，还属于行政法律义务。《个保法》除采取“设定权利—个人主张权利—司法机关救济权利”的权利方法以外，也通过“设定义务—行政机关执法—义务主体履行义务”的义务方法来实现个人信息保护。《个保法》《信息安全技术个人信息安全规范》等规范个人信息处理活动的法律、行政法规、标准为处理者设定了必须履行的行为义务，主体权利对应的处理者义务亦在此列。《个保法》设置的处理者合规义务覆盖个人信息处理的全流程，不仅体现为第五章“个人信息处理者的义务”，也来源于总则部分的原则和第二章的“个人信息处理规则”以及第四章的主体权利义务规则。从整体来看，主体权利并未对处理者额外增加实质性的义务，而只是为个人提供工具，强制要求处理者遵循个人信息处理的原则与规则。[35]因此，个人依据《个保法》第65条向行政机关发起的投诉可以针对处理者任何不遵守《个保法》规定的违法行为，欧盟《通用数据保护条例》（GDPR）第77条所规定的数据主体向监管机构的投诉同样可以针对任何违反GDPR条款的行为（GDPR violations）。[36]《个保法》第66条相应地具有广泛的调整范围，将该法中所有涉及个人信息处理的权利、义务关系条款都纳入行政处罚的辐射范围，为不履行个人信息保护义务的违法行为统一配置了行政法律责任，[37]侵害主体权利的行为也应包含于其中。《网络安全法》第71条则更加明确地规定侵害个人信息权益的，应承担行政责任。此外，处理者响应个人行使权利的主张时，其收集、提供、删除、传输个人信息的过程本身也构成个人信息的处理活动，[38]行政机关自然也应有权介入规制。

较为特殊的是《个保法》第45条第3款规定的个人信息可携带权。从个人信息处理的原则或其他处理规则中不易直接推导出处理者负有提供转移途径的合规义务，不过从以下角度依然可以顺畅解释行政权有介入保护的正当性：一是，可携带权不仅有利于实现个人对其信息处理活动的决定权，而且能够有效预防和制止平台垄断，促进数据的流动和共享，维护市场公平竞争，从而兼顾信息主体私益与公共利益的保护。二是，《个保法》仅是简单地在立法中承认了可携带权，并授权国家网信部门规定具体行使条件，全国网络安全标准化技术委员会正在编制《数据安全技术基于个人请求的个人信息转移要求》，以明确其适用条件、可请求转移的个人信息范围，以及处理者在响应个人转移的请求时应遵循的安全原则、流程和技术要求等，对处理者提出了更加细化的外部合规要求，显示处理者响应个人提出的转移请求之义务兼具合规义务的属性。理论反对设立可携带权的重要原因亦是该权利会给中小企业增加合规压力与合规成本。[39]

（二）行政机关介入救济的具体形式

鉴于主体权利对应的处理者义务具有民事法律义务和行政法律义务的复合属性，行政机关介入主体权利行使纠纷便有两种可能的方式。一是基于处理者不履行合规义务，由行政机关作出责令改正的行政命令，要求其履行法定义务。根据《个保法》第66条与《行政处罚法》第28条，责令改正可以在不予行政处罚时单独作出、与行政处罚一并作出，或作为行政处罚的前置命令。我国法上的“责令改正”是一个包容性很强的概念，内容根据违法行为的样态而不同，法律属性也不尽相同。《个保法》第66条、《网络安全法》第六章、《数据安全法》第六章出现的“责令改正”与行政处罚紧密相连，处理者承担的“改正违法行为责任”应属于行政责任而非民事责任。[40]二是着眼于主体权利的私权属性，认为应适用行政裁决，由行政机关居间裁决双方的民事权利义务争议。现代国家行政权发生扩张，在纠纷多元化解决的理念下，行政机关可以充当司法者的角色，处理与行政管理活动密切相关的民事法律纠纷。主体权利具有民事私权的属性，其行使纠纷与行政机关对个人信息处理活动的监管直接相关，与行政裁决原理有一定适配性，可以发挥行政裁决专业灵活、成本低廉和运行高效的制度优势。[41]

两种行政行为的效果均是命令处理者履行法定义务，要求行政机关依据《个保法》第四章判断处理者义务，同时可以采取丰富的调查措施，但二者的核心差别在于程序启动方式不同。行政机关负有查处行政违法行为的职责，不以个人提出投诉为前提，发现违法线索时应依职权主动查处，责令处理者改正。行政裁决是行政司法行为，主流观点认为遵循不告不理的原则，应依申请才能启动。[42]地方性裁决规则通常也要求由当事人自主选择行政裁决。若适用行政裁决，行政机关在执法活动中发现个人未履行主体权利对应的义务时不能主动介入，不利于及时恢复良性的个人信息处理秩序，也与行政机关对处理者的自我规制进行全面监管的定位不符，故行政机关介入保障主体权利行使的行政行为性质应为行政命令。

存有疑问的是，行政裁决唤起行政保护的确定性是否比行政投诉更高？有观点认为行政投诉并不一定能够引起行政监管的启动，行政裁决可显著提升行政权介入的确定性。[43]从《消费者权益保护法实施条例》《市场监督管理投诉举报处理暂行办法》等规定来看，受理投诉采取形式审查，除了不属于行政机关职责范围、投诉毫无根据等明显不应受理的情形外，行政机关应及时受理，与行政裁决实行立案登记制的标准并无不同。在投诉效力及其保障方面，《个保法》第65条赋予个人提出投诉的程序性权利，明确规定行政机关对投诉进行处理以及答复的义务。答复行为和对投诉事项作出的行政决定是两项行为，两者都可获得司法救济：一是不予答复、未在期限内答复的行为属于行政不作为；二是行政机关作出拒绝或驳回个人投诉等实体处理决定是与其有利害关系的行政决定，未对投诉进行实体处理也构成行政不作为。《个保法》中的投诉制度与行政监管的职责捆绑，能够有效保障主体权利。2023年欧盟法院在对德国信用评分机构SCHUFA作出的两项裁决中重申了投诉这一程序性权利的效力，指出数据主体向行政监管部门的投诉不应被视为柔性的申诉（petition），而是有引起监管机构作出产生外部法律约束力的行政决定之效力。[44]故投诉与行政裁决申请在引起行政权介入的效力方面应无实质差别。

在行政监管的路径下，行政机关的处理是将事实涵摄于法律规范，认定处理者是否应履行法定义务，处理过程亦体现了裁决性。比较法上各国监管机构的组织机构和处理投诉的程序机制不完全相同，有的采取类似于法庭审理的模式，有的采取投诉专员（ombudsman）处理模式，更多是介于两者之间的混合模式。[45]这也受监管机构执法资源的影响，目前的趋势是视案件情况以不同的强度灵活处理投诉。[46]例如比利时的数据监管机构设有争议解决庭（Litigation Chamber）专门处理投诉，其性质虽非司法机关，但处理投诉的程序呈现一定的准司法特征，审查人员既可以命令双方交换证据，听取当事人的意见，也可以在事实清楚时采用简化程序立即作出处理决定。[47]美国联邦贸易委员会（FTC）负责数据安全与隐私保护执法，其处理数据隐私投诉的过程也具有典型的司法性。参考域外做法，我国行政机关在处理主体权利实现纠纷时，也应根据案情复杂程度决定审理方式，若双方对主要事实没有争议，可以采取书面审查作出决定；若对主要事实有争议，应充分听取双方当事人的意见，合理保障个人与处理者的程序参与权，对于复杂、重大的案件还应进行听证。

四、民行救济方式的可能协同关系及疏漏

既已明确民事司法与行政监管构成两种可能的救济方式，便需确定两者的适用关系。为强化对个人信息的保护，多有观点认为个人应如何寻求救济完全取决于其选择，民事诉讼既可以在行政处理结束后启动，也可与之互不干扰地进行。[48]然而两种救济方式的目标与效果具有同质性，不加干预地运行不仅可能浪费司法与公共执法资源，也可能形成矛盾结论，冲击彼此的效力，破坏法秩序的安定性，违背正当权利保护的初衷。[49]系统设计救济机制的焦点在于准确厘定民事司法与行政监管的协同关系，整合不同救济方式的优势，实现纠纷解决资源的最优配置，高效、公正地保障主体权利的行使。目前域内外理论与实践对两者的协同关系形成了多种方案，但均存在一定不足。

（一）民事诉讼否定论偏离多种解释方法

最激进的方案为了避免双重保护而彻底否定民事诉讼救济。有力说对GDPR第79条提供“有效司法救济”采取特别的解释，即如果欧盟成员国立法已经按照第77条设置行政投诉，并按照第78条规定数据主体可就监管机构的决定提起诉讼，就满足了第79条的要求。换言之，该观点认为第79条并非强制成员国另行确立民事司法救济，只是确保必须存在第77条与第78条的救济途径。[50]另外还认为第79条的司法救济适用于两类监管机构无法处理的案件，一是数据主体根据第82条主张损害赔偿，二是根据第55条就法院在行使司法职权过程中违反数据处理规则的行为主张救济。[51]但该观点不符合GDPR的文义、体系与目的解释。首先，第79条规定数据主体有权获得的司法救济不影响任何其他行政或司法救济，表明第79条与第77条的投诉程序、第78条的司法救济彼此独立、不可替代。第79条指向数据主体起诉主张数据控制者或处理者违反了GDPR规则，第78条保障数据主体对监管机构的决定寻求司法审查，这是两种类型的司法救济。[52]其次，GDPR序言第145条规定，第79条诉讼的管辖法院是与数据控制者或处理者相关的法院，或数据主体的住所地法院，脱离了监管机构的因素，且数据主体对管辖法院享有选择权，均反映第79条的司法救济有别于第78条。最后，GDPR为数据主体提供多重救济是为了提升个人数据受保护的水平，救济方式的协调不应以过分牺牲乃至完全剥夺其他救济方式为代价。[53]我国《个保法》第50条第2款的立法目的同样是更加充分地保障主体权利。在文义方面，该规定未提及任何行政监管因素，将之与行政决定的司法审查挂钩较为牵强。在体系上，行政监管制度已由第61条第（二）项以及第65条所规定，无须在前文再进行确认。另外，该款规定的诉讼指向主体权利的行使，也应与第69条处理个人信息造成损害时会形成的侵权损害赔偿诉讼区别开来。故而在《个保法》下，行使主体权利的民事司法救济方式亦不应被排除。

（二）行政效力优先论违反司法最终原则

行政效力优先说认为，尽管在程序上民事诉讼与行政监管各自独立、互不影响，但在效力层面，行政决定以及行政判决应优先于民事判决，如此才符合行政机关在个人信息保护中的主导地位。在一起匈牙利的数据访问权纠纷中，数据主体向匈牙利数据监管机构投诉，要求数据控制者提供完整记录但未得到支持。随后数据主体分别对数据控制者和行政机关起诉，在民事诉讼中法院支持了原告的诉讼请求，判决经过二审后生效，此后在行政诉讼中产生了是否应受先前生效民事判决约束的问题，被提交至欧盟法院裁决。移交法院认为行政监管的结论以及行政诉讼的判断有优先性，不应受到民事诉讼判决的拘束。[54]该方案的不利后果是，如果个人同时开启两种程序，最终的结论将取决于行政决定以及可能的行政诉讼，民事诉讼丧失意义；如果个人先提起民事诉讼并败诉，还可以再向行政机关投诉以规避民事判决，亦有违司法最终原则。按照司法最终原则，当事人应尊重法院的生效裁判，不得就生效裁判确定的事项又向社会组织、行政机关寻求救济，否则就意味着以社会权、行政权侵犯司法最终解决权。[55]其他公私法协同保护的领域同样遵循这一原理。比如《专利行政执法办法》第10条规定当事人请求专利管理部门处理专利侵权纠纷以其未向法院起诉为前提，不允许当事人并行提起民事诉讼和行政投诉，或是在民事程序终结后又请求行政保护。《市场监督管理投诉举报处理暂行办法》在畅通消费者投诉举报机制的同时，第15条也规定法院、仲裁机构或行政机关、消费者协会或调解组织已受理或处理过同一消费者权益争议的，市场监管部门就不再受理投诉。

（三）后程序中止论忽视公权力定位差异

同样是在上文的匈牙利数据访问权纠纷中，欧盟法院总法律顾问Richard de la Tour认为各成员国可以规定两种救济程序的适用无优先顺位，发生程序并行时中止后一程序，等待先进行的程序作出判断。[56]该方案被认为更有利于维护两种救济方式的平等，充分尊重数据主体的程序选择权，并可与GDPR第81条处理国际平行诉讼的中止诉讼机制保持一致。[57]2023年我国《民事诉讼法》第四编“涉外民事诉讼程序的特别规定”修改也新增了平行诉讼的中止诉讼制度，第281条规定外国法院先受理案件时，我国法院可以根据当事人的申请中止诉讼。虽然协调主体权利的二元救济方式与解决国际平行诉讼均应注意避免重复救济，以节约司法资源与当事人诉讼成本，但前者关系到行政监管与民事诉讼的关系，处理的是一国行政权与司法权在个人信息保护领域的分工与配合；后者则要求规制跨国民事诉讼的重叠管辖，应注重平衡国际礼让原则与本国司法主权。两者背后的理论基础并不相同，简单套用后一程序中止的机制忽视了行政机关和司法机关在主体权利救济问题上应然定位的差异。

（四）引导行政投诉先行论虚置民事诉讼

行政投诉前置的理论方案包括两种，一是强制行政投诉前置，即要求个人必须先向行政机关投诉，[58]该方案限制了公民诉权的行使，影响个人的程序选择权，似乎与强化公民个人信息保护的初衷相悖，因而不乏质疑的声音。二是引导行政投诉先行，为避免行政机关处理效率低下延误救济，该观点肯定个人可不经过行政投诉而提起民事诉讼，但要求法院引导个人先向行政机关寻求救济，法院应中止诉讼等待行政机关作出决定，并协调两种程序的结论。[59]尽管可以避免重复判断，进而防止矛盾裁判，在一定程度上节约了公共资源，但该方案亦有缺陷：基于行政程序可能存在的拖延与怠惰而允许个人起诉，又要求法院引导个人先通过行政投诉获得救济，不免自相矛盾。从纠纷解决的本质来看，行政执法与民事诉讼的效果都是要求处理者履行法定义务，配合个人实现权利，两者的审查对象重叠，救济目标一致，只是实现路径有别。中止民事诉讼以待行政程序作出判断的做法实际上并没有提升对主体权利的保护水平，仅导致民事诉讼程序的形式化运转与司法资源的浪费。此外，该方案预设的主要情形是个人主张损害赔偿的民事侵权诉讼，在个人仅主张行使主体权利时，一并运用两种救济的必要性不足。可资类比的是生态环境损害案件同样可以通过行政执法或司法救济实现停止违法行为、生态修复等责任的追究，但理论通常认为救济方式应有优先顺位，不允许并行。[60]

五、强制行政先行模式的证成与构造

对可能协同方案的分析表明，个人不应并用两种救济手段。问题是允许个人自由选择其一，还是确立救济方式之顺位。基于诉权限制的正当性分析，我国法宜采强制行政先行的模式并合理保留例外情形，在此基础上疏通行政机关处理后的救济渠道，系统构建主体权利救济的行政先行机制。

（一）强制行政先行未破坏诉权本质

就我国现行法来看，反垄断与证券领域的民事诉讼不以行政查处或行政处罚为前提条件。《最高人民法院关于审理垄断民事纠纷案件适用法律若干问题的解释》（法释〔2024〕6号）第2条明确规定，原告可以依据反垄断法直接提起民事诉讼；证券法领域也取消了证券侵权民事赔偿案件必须先由行政机关作出行政处罚才能受理的要求。[61]不过，上述领域的现状与趋势并不能推导出其他类型的纠纷当然就应排除强制行政先行，尤其是这些不适用行政前置的案件主要是民事侵权损害赔偿诉讼。保障当事人的诉权并不意味着对诉权的行使就不能设置一定条件，只是相关条件应当科学与合理。

在判断GDPR第79条“有效司法救济”的要求是否得到满足时，欧盟理论与实践往往结合《欧盟基本权利宪章》（CFR）第47条“获得有效司法救济”的基本权利规定以及第52条第1款对基本权利的限制规定进行解释。[62]第47条一般被理解为成员国必须对欧盟法律的权利提供适当的司法救济，但在具体形式和程序规则方面有自主决定权，只是应符合有效性原则，即不得使诉权的行使变得几乎不可能或者过度困难，可见区分了诉权的正当限制与诉权的剥夺。[63]第52条第1款给出的标准是，对基本权利的限制应符合其本质并通过比例原则的检验。《个保法》第50条第2款虽然未规定行政先行，但该规定可以解释为立法概括确认了个人行使主体权利的诉权，至于是否应采取行政先行，需根据个人信息主体权利行使纠纷的特征、个人信息保护格局与治理政策进行综合衡量与具体设计。不同国家的法律传统、司法体制、公共行政模式、公共服务资源等因素存在差异，各个领域的法律救济机制呈现出不同的样态，不过在基本权利的保护与限制方面依然有着超越法域的共通底层逻辑，注重限制的正当性衡量，对诉权限制容许性的判断可以借鉴CFR第52条第1款确立的框架。诉权的本质是个人请求司法机关作出公正裁判的权利，行政先行不会排除司法的最终救济，个人可就行政机关的处理决定或行政不作为提起行政诉讼，在行政机关不及时作出处理决定时也可针对处理者提起民事诉讼，可见对司法救济增加额外的程序步骤依然保留了个人请求司法机关作出裁判的可能性，没有实质排除个人诉权的行使，不会破坏诉权的本质内涵。[64]故而更关键的问题是通过比例原则衡量行政先行的正当性。

（二）强制行政先行符合比例原则

将比例原则用于强制行政先行的正当性分析，分为适当性、必要性与均衡性三个维度的检验。

1.强制行政先行的适当性

强制行政先行有助于适当达成救济主体权利的目的。其一，行政处理便捷、高效与灵活。《个保法》赋予行政机关广泛的调查权限，能够帮助行政机关快速查清事实，在事实清楚时行政机关也可灵活作出判断，及时回应个人的权利保护需求。相反，传统民事诉讼程序费时费力，法院因中立性要求无法依职权全面调查取证，个人也因其相对于大型平台的弱势地位，很难获取证据。在确保权利实现方面，行政决定作出送达后发生法律效力。处理者不履行行政命令时，行政机关可以作出行政处罚，其威慑与惩戒效果能够有效保障行政命令的实现；也可以采取行政强制措施或申请法院强制执行，促使处理者履行义务的手段更加丰富多样。

其二，充分发挥行政机关在个人信息保护纠纷上的专业优势。首先，主体权利纠纷涉及大量技术性、专业性问题，专司个人信息保护与监管的行政机关具有知识与信息的优势，由其先行处理更贴合纠纷的特征，可以有效弥补法院专业知识的欠缺。其次，双方争点往往涉及权利行使的范围与限度，争议的解决需判断个人行使权利的请求是否合理、处理者拒绝的理由是否正当、处理者的响应方式及内容是否合理等问题。这本质上是一个复杂的价值判断与利益衡量过程，必须妥当协调个人保护权利的需求、处理者正常经营活动的利益与行业健康有序发展等公共利益、其他个人的信息安全等多元主体的利益。《个保法》的权利行使规定较为笼统，往往要借助行政法规、部门规章、技术标准等行政立法来判断，行政机关对社会经济发展趋势、国家政策更具有敏锐度和适应性，可以运用个人信息保护过程中积累的专业知识、监管经验、行政惯例进行裁量。

至于行政机关推诿与不作为影响主体权利获得及时救济的隐患，若个人未经投诉而直接向法院起诉的，可以考虑建立法院与行政机关的转办机制，由法院转至相应的行政机关处理，推动行政机关积极履行监管职责。[65]

2.强制行政先行的必要性

在必要性方面，强制行政先行的救济成本较低、综合效益较高。一是对个人而言，投诉不必支付费用，降低了权利保护的成本。二是能够提升个案救济的法律效果。一方面，行政机关承担行政政策形成与行政规范完善的职责，在行政监管活动中制定各种个人信息保护的具体规则与标准，由其统一处理个人信息相关的投诉，可以保障政策实施的一致性与连贯性，并有利于个人信息合理利用规则的细化，提升行政监管的科学性与合理性。另一方面，主体权利规范执行的过程可以揭示处理者技术基础设置、内部管理制度和操作规程等自我规制方面的不足，比如有无便捷的个人行使权利的申请受理和处理机制，有无可靠、保护隐私、确保安全的个人身份验证机制，以及是否确保信息转移过程安全，防止个人信息泄露。法院通常只能就个案的权利救济进行审查，行政机关则能以个别纠纷的处理为起点，通过行政指导、行政处罚等行政监管措施介入处理者的自我规制，实现防治同类型纠纷的效果。

行政先行也能过滤进入法院的诉讼，实现纠纷解决资源的合理配置。个人行使主体权利的纠纷在实践中频繁发生，若遵循传统的权利救济路径，可能导致大量纠纷涌向法院，强制行政先行可以充当纠纷解决的分流阀。有效分流案件后，法院作为纠纷解决的“最后一道屏障”，使司法资源能够用在真正需要审判制度加以解决的纠纷上。可资参考的是发生在斯洛伐克的一起数据删除权纠纷。该案原告起诉要求行使删除权，法院认为根据斯洛伐克民事诉讼法的规定，原告必须用尽行政投诉手段才能提起民事诉讼，拒绝受理该案。欧盟法院的裁决指出，行政前置不仅没有不当地拖延救济或增加额外费用，反而有助于提升对个人保护的效率、降低权利保护的成本，并可使法院免于审理可由行政机关妥当处理的案件，减轻法院的负担，最终有助于提高司法程序的效率。后续法院在审理相关案件时也可参考行政机关处理案件时的记录，促进相关民事诉讼的审理。[66]

3.强制行政先行的均衡性

均衡性要求手段造成的不利后果与其追求的目的不能出现严重失衡，这就要求行政先行不能弱化民事诉讼原有的救济效果。因此在例外情形下应允许个人直接提起民事诉讼：一是个人未向处理者提出行使查阅权、复制权、解释说明权、可携带权的请求而直接起诉。行政机关的介入系针对行政违法行为，发起投诉的理由应是行使这几项权利受阻，个人向处理者提出请求前并不存在违法行为。相反，处理者负有的更正、补充与删除的义务不以个人提出请求为必要，处理者未履行便违法，个人可以行使这几项权利为由发起投诉。二是个人除主张行使主体权利以外还一并提出针对处理者的其他诉讼请求，比如要求处理者赔偿侵害主体权利造成的损失、赔偿非法处理活动造成的损失等。此时由法院一并解决个人信息保护的关联请求能够达到一次性解决纠纷的效果，有利于事实认定与法律适用的一致性，应尊重个人的程序选择权，不必强制行政先行。

综上，在主体权利的救济体系中，应确立行政主导、民事司法补充的救济顺位，个人应先向行政机关发起投诉，行政机关在法定期限内不作出行政决定时，个人可以对处理者提起民事诉讼或对行政机关的不作为提起行政诉讼。由于诉权限制系法律保留事项，日后仍应在《个保法》中予以明确。

（三）行政处理的后续救济之疏通

在经过行政处理程序后，如果个人或处理者对行政机关所作的决定不服，在个人与处理者之间的原纠纷外又形成了与行政机关之间的行政纠纷。行政处理后续救济程序的适用，需着重解决以下问题。

首先，个人对行政决定的结果不服时，是否允许其以处理者为被告再向法院提起民事诉讼？具体行政行为具有公定力，在有关机关撤销或者变更以前被推定为合法，质疑者据此认为民事审判不能审查具体行政行为的合法性，再就同一纠纷进行审理是对行政决定的回避或否定。[67]在行政机关处理后，个人提起民事诉讼的正当性可从两方面解释：一是行政程序注重高效性，并不遵循严格的辩论机制和上诉复审制度，民事诉讼可以使当事人获得完整的程序保障，弥补行政保护方式的不足，确保纠纷解决结果实体与程序的公正性。二是行政决定是为了确认并保护主体权利，要求处理者履行法定义务，在性质上应属于形式性的行政行为，并非能够对民事审判产生公定力的基础行政行为，民事诉讼应根据当事人的举证、质证和辩论独立作出判断。[68]类似的是，《最高人民法院关于审理专利纠纷案件适用法律问题的若干规定》（法释〔2020〕19号）第19条规定专利侵权纠纷案件已经行政机关作出侵权或不侵权认定的，法院仍应就当事人的诉讼请求进行全面审查。形式性的行政行为的结论仅可作为证据使用，不可代替法院判断。民事诉讼的结果与行政决定不同的，当事人应受判决的拘束，行政决定只有形式上的存续效力，实质内容被民事诉讼否定，不对相对人产生效力。

其次，不服行政决定而提起行政诉讼时，行政诉讼的目标是监督行政权的行使而非替代，法院通常是作出撤销重作判决，然而原处理决定被撤销后个人与处理者之间的纠纷并未得到解决，需等待行政机关再次作出处理决定，导致当事人之间的法律关系延宕不决；且重新作出的处理决定亦可能维持原来的判断，实质化解决纠纷的效果欠佳。可能的解决方案有两种：一是参照适用《行政诉讼法》第61条第1款，由当事人申请在行政诉讼中一并审理主体权利纠纷。二是赋予行政诉讼中法院对行政决定的司法变更权，允许其直接改判。后者更具有合理性：第一，行政决定的合法性以行政机关对当事人主体权利义务关系判断的正确性为中心，即便当事人未一并提出解决主体权利纠纷的请求，为审理行政争议，法院仍需审查个人与处理者之间的争议。[69]第二，理论通常认为变更判决只能适用于无行政裁量或行政裁量权缩减至零的情形，行政机关对主体权利行使的判断更多的并非对法律效果的裁量，而是基于对权利行使或构成要件的考量，解释不确定法律概念，判断案件事实能否为相关规范涵摄，法院应有权对此展开司法审查。第三，行政机关对主体权利纠纷行使判断权具有准司法性，主体权利为民事权利，对权利义务关系的判断结果进行变更应为法院裁判权范畴，无司法权侵蚀行政权之嫌。相比之下，由当事人申请一并审理的方案未能把握行政争议和主体权利争议的整体性与一致性，增加了纠纷解决的复杂性。另外，不服行政决定时，行政复议能够有效监督行政机关公正处理，为当事人提供高效化解纠纷、救济权利的另一种机会，基于行政复议化解行政争议的主渠道作用，也应赋予其申请行政复议的选择权。

六、结语

个人信息保护法律制度糅杂了诸多公法与私法规范，但未因此使公私法的划分彻底失效。主体权利符合现代民法在实质平等理念下对具体法律人格进行倾斜性保护的原理，其性质依然为民事私权。同时，主体权利又因蕴含公法的价值而使处理者负有行政法律义务，展现出区别于既有权利形态的新型权利之姿，民事司法与行政监管均有介入保护的可能。主体权利规范的落实须由两者协同完成，通过优势互补实现公力救济资源的高效配置。首先由行政机关先行处理，发挥其灵活、专业、高效、成本低廉的制度优势，在快速保障主体权利的基础上充当纠纷解决的分流阀；其次可通过民事司法程序提供的完整程序保障实现纠纷的终局性解决。当然，主体权利行使纠纷发生的场景丰富、规模不一，民事司法程序有进一步分化与拓展的空间，比如应对群体性纠纷的公益诉讼、满足即时救济需求的禁令程序等。限于篇幅，本文的讨论集中于个体化的通常救济机制。随着个人信息保护力度持续增强、个人信息处理活动日趋规范以及主体权利行使与响应规则趋于精细，主体权利行使救济机制的构造也保留调整的可能：一方面，行政监管回归谦抑立场，减少因个人滥用低成本投诉造成的公共资源无益消耗，转而由民事司法承担纠纷解决的主要职责；另一方面，若行政监管机构建设成效显著，监管资源与能力同步提升，则其亦可能全面主导个人信息保护法律规范的落实与个人信息权益的维护。

【注释】

基金项目：2022年度法治建设与法学理论研究部级科研项目“个人信息民事公益诉讼基本理论与程序构造研究”（项目号22SFB5036）。

[1]参见丁晓东：《从个体救济到公共治理：论侵害个人信息的司法应对》，载《国家检察官学院学报》2022年第5期，第104页。

[2]参见王锡锌：《个人信息权益的三层构造及保护机制》，载《现代法学》2021年第5期，第112—120页。

[3]参见韩思阳：《个人信息保护中的主观公权利》，载《法商研究》2023年第4期，第98页。

[4]由于国家机关为履行法定职责处理个人信息的行为与私人机构处理个人信息存在根本性差异，本文的研究对象限于非国家机关处理者处理个人信息时的主体权利救济机制。

[5]参见吕炳斌：《数字时代个人信息保护权利基础的二元融贯论》，载《社会科学辑刊》2024年第3期，第3页。

[6]参见王涌：《私权的分析与建构：民法的分析法学基础》，法律出版社2020年版，第51—54页。

[7]参见[德]格奥格·耶利内克：《主观公法权利体系》，曾韬、赵天书译，中国政法大学出版社2012年版，第52页。

[8]参见周尚君：《数字社会对权力机制的重新构造》，载《华东政法大学学报》2021年第5期，第19页。

[9]参见张翔：《基本权利的规范建构》，法律出版社2023年版，第33页。

[10]参见梁慧星：《从近代民法到现代民法——二十世纪民法回顾》，载《中外法学》1997年第2期，第24页。

[11]参见[德]卡尔·拉伦茨：《德国民法通论》（上册），王晓晔等译，法律出版社2013年版，第267—268页。

[12]参见陈景辉：《权利和义务是对应的吗？》，载《法制与社会发展》2014年第3期，第37—38页。

[13]See Jef Ausloos,The Right to Erasure in EU Data Protection Law,Oxford University Press,2020,p.88.

[14]参见苏和生：《个人信息诉讼前置程序的模式选择与解释路径》，载《华东政法大学学报》2024年第5期，第125页。

[15]在美国联邦法院，具有“诉讼资格”（standing）是案件进行实体审理的前提条件。实践多从《美国宪法》第3条解释出可诉的案件必须满足存在“具体损害（concrete injuries）”的要求，旨在维护三权分立。多有意见认为这一解释是一种误读。比如托马斯大法官指出对司法权限制的主要目的是防止司法机关卷入政治性纠纷，但这种担忧通常不会出现在私人原告试图针对某人实现其个人权利的案件中。See TransUnion v.Ramirez，141 S.Ct.2190（2021）；Spokeo，Inc.v.Robins，136 S.Ct.1551（2016）.

[16]参见宁园：《“个人信息侵权”方案的反思及其重塑》，载《当代法学》2024年第1期，第48—49页。

[17]See Jon Romberg“,Trust the Process：Understanding Procedural Standing Under Spokeo”,72 Oklahoma Law Review517,589(2020).

[18]参见程啸：《论个人信息权益的行使与救济机制》，载《中国应用法学》2022年第6期，第134页。

[19]参见张新宝：《论个人信息保护请求权的行使》，载《政法论坛》2023年第2期，第31—32页。

[20]参见姚佳：《个人信息主体权利的实现困境及其保护救济》，载《中国法律评论》2022年第6期，第141页。

[21]参见阮神裕：《个人信息权益的二元构造论》，载《法制与社会发展》2023年第4期，第77页。

[22]参见杨巍：《〈民法典〉第195条评注之二（起诉、其他中断事由）》，载《法学家》2021年第5期，第172页。

[23]参见袁中华：《违约责任纠纷之证明责任分配——以〈民法典〉第577条为中心》，载《法学》2021年第5期，第107页。

[24]参见王洪亮：《强制履行请求权的性质及其行使》，载《法学》2012年第1期，第105页。

[25]参见[日]伊藤真：《民事诉讼法》（第四版补订版），曹云吉译，北京大学出版社2019年版，第122页。

[26]参见周翠：《民事诉讼中诉的利益：判例与学说》，载《人民司法》2022年第16期，第88页。

[27]参见张新宝：《论个人信息保护请求权的行使》，载《政法论坛》2023年第2期，第32—33页。

[28]参见北京市第四中级人民法院（2023）京04民终39号民事判决书。

[29]参见[日]高桥宏志：《民事诉讼法——制度与理论的深层分析》，林剑锋译，法律出版社2003年版，第286页。

[30]参见[日]美浓部达吉：《公法与私法》，黄冯明译，中国政法大学出版社2003年版，第249—250页。

[31]参见程鹏：《处理已公开个人信息的合理限度》，载《学术交流》2024年第10期，第81页。

[32]See Orla Lynskey,The Foundations of EU Data Protection Law,Oxford University Press,2015,pp.78-79.

[33]参见胡凌：《功能视角下个人信息的公共性及其实现》，载《法制与社会发展》2021年第5期，第177页。

[34]See András Jóri,“Shaping vs Applying Data Protection Law：Two Core Functions of Data Protection Authorities”,5International Data Privacy Law133,134(2015).

[35]See Bart van der Sloot,The General Data Protection Regulation in Plain Language,Amsterdam University Press,2020,p.123.

[36]See European Data Protection Board,“Internal EDPB Document6/2020 on Preliminary Steps to Handle a Complaint：Admissibility and Vetting of Complaints”,p.9,https：//www.edpb.europa.eu/system/files/2022-07/internal_edpb_document_062020_on_admissibility_and_preliminary_vetting_of_complaints_en.pdf,accessedDecember15,2020.

[37]参见蒋红珍：《〈个人信息保护法〉中的行政监管》，载《中国法律评论》2021年第5期，第56页。

[38]See Jatinder Singh&Jennifer Cobbe“，The Security Implications of Data Subject Rights”,17 IEEE Security&Privacy21,23(2019).

[39]参见丁晓东：《论数据携带权的属性、影响与中国应用》，载《法商研究》2020年第1期，第78页。

[40]参见彭錞：《论个人信息保护行政处罚制度——以〈个人信息保护法〉第66条为中心》，载《行政法学研究》2022年第4期，第44—45页。

[41]认为是行政裁决的观点，参见李海平:《个人信息国家保护义务理论的反思与重塑》，载《法学研究》2023年第1期，第89页。

[42]参见徐运凯：《优化行政司法的内在逻辑及法治化展开》，载《中外法学》2024年第2期，第430页。

[43]参见沙洲：《论个人信息侵权纠纷的行政裁决制度建构》，载《山东法官培训学院学报》2023年第2期，第51页。

[44]See UF&AB v.Land Hessen[2023]CJEU58.

[45]See Waltraut Kotschy,“Does Article79 GDPR Require a‘Double Remedy’for Data Subjects?”,23 ERA Forum195,197(2022).

[46]See Data Protection Law Scholars Network,“The Right to Lodge a Data Protection Complaint：OK,But Then What?”,p.29,https：//www.accessnow.org/wp-content/uploads/2022/07/GDPR-Complaint-study,accessedOctober30,2025.

[47]See Thomas Dubuisson,“Data Protection Authority Provides New Policies on GDPR Infringements and Litigation Proceedings Aspects”,7 European Data Protection Law Review435,437(2021).

[48]See Carmen Tamara Ungureanu,“Legal Remedies for Personal Data Protection in European Union”,6 Logos University Mentality Education Novelty：law26,32(2018).

[49]欧盟在制定GDPR时就曾在第77—79条关系的问题上产生过巨大争议，奥地利甚至因此对GDPR的通过投了反对票，认为双重的法律保护可能会导致同一案件存在相互矛盾的判决。Vgl.Waltraut Kotschy,überlegungen zur Zust?ndigkeit der Gerichte in Datenschutzsachen(25.September2019),https：//lesen.lexisnexis.at/_/ueberlegungen-zur-zustaendigkeit-der-gerichte-in-datenschutzsach/artikel/rdw/2019/9/RdW_2019_09_456.html.

[50]参见王锡锌：《重思个人信息权利束的保障机制：行政监管还是民事诉讼》，载《法学研究》2022年第5期，第15页；Waltraut Kotschy,“Does Article79 GDPR Require a‘Double Remedy’for Data Subjects?”,23 ERA Forum195,204-205(2022).

[51]See Christopher Kuner et al.eds.,The EU General Data Protection Regulation(GDPR)：A Commentary,Oxford University Press,2020,p.1135.

[52]See Giovanni De Gregorio&Simona Demková,“The Constitutional Right to an Effective Remedy in the Digital Age：A Perspective from Europe”,in Charlotte van Oirsouw et al.eds.,European Yearbook of Constitutional Law2023,T.M.C.Asser Press,2024,p.239.

[53]See Giacomo Marola,“The Relationship between the Remedies Provided for in Articles77(1),78(1)and79(1)GDPR and the Extent of the Member States’Discretion in Ensuring Their Coordination at the National Level”,9 European Data Protection Law Review251,256(2023).

[54]See BE v.Nemzeti Adatvédelmi és Információszabadság Hatóság[2023]CJEU20.

[55]参见程琥：《司法最终原则与涉法涉诉信访问题法治化解决》，载《人民司法》2015年第5期，第13页。

[56]See BE v.Nemzeti Adatvédelmi és Információszabadság Hatóság[2023]CJEU69.

[57]See Giacomo Marola,“The Relationship between the Remedies Provided for in Articles77(1),78(1)and79(1)GDPR and the Extent of the Member States’Discretion in Ensuring Their Coordination at the National Level”,9 European Data Protection Law Review251,256(2023).

[58]See António Barreto Menezes Cordeiro,“Data Protection Litigation System Under the GDPR”,in Dário Moura Vicente,Sofia de Vasconcelos Casimiro&Chen Chen eds.,The Legal Challenges of the Fourth Industrial Revolution,Springer,2023,p.240.

[59]参见黄智杰：《违法处理个人信息行政责任与民事责任的衔接》，载《法律科学（西北政法大学学报）》2024年第3期，第126页。

[60]参见胡静：《比较法视野下生态环境损害救济的行政主导实质及其启示》，载《比较法研究》2023年第3期，第102—103页。

[61]参见2020年最高人民法院印发的《全国法院审理债券纠纷案件座谈会纪要》（法〔2020〕185号）第9条、2020年施行的《最高人民法院关于证券纠纷代表人诉讼若干问题的规定》（法释〔2020〕5号）第5条、2022年施行的《最高人民法院关于审理证券市场虚假陈述侵权民事赔偿案件的若干规定》（法释〔2022〕2号）第2条。

[62]See Hilde K.Ellingsen,“Effective Judicial Protection of Individual Data Protection Rights：Pu?kár”,55 Common Market Law Review1879,1880-1883(2018).

[63]See Kathleen Gutman,“The Essence of the Fundamental Right to an Effective Remedy and to a Fair Trial in the Case-Law of the Court of Justice of the European Union：The Best Is Yet to Come?”,20 German Law Journal884,894(2019).

[64]See Rosalba Alassini and Others v.Telecom Italia SpA and Others[2010]ECJ54.

[65]可供借鉴的是知识产权专利侵权案件中，浙江省知识产权局充分发挥专利行政裁决分流阀作用，探索建立“行政—司法”无障碍转办机制，对当事人向法院起诉的专利侵权纠纷预立案后，先转至相应知识产权局进行行政裁决，取得了良好效果。

[66]See Peter Pu?kár v.Finan?né riadite?stvo Slovenskej republiky and Kriminálny úrad finan?nej správy[2016]ECJ66.

[67]参见陆平辉：《行政裁决诉讼的不确定性及其解决》，载《现代法学》2005年第6期，第104页。

[68]参见叶必丰：《行政行为原理》，商务印书馆2019年版，第363页。

[69]参见最高人民法院（2019）最高法行再134号行政判决书。